¿Cuándo y cómo empezaste con la piratería ética?
La primera computadora, la Commodore 64, me la regaló mi padre cuando tenía 8 o 9 años. Lo desmonté de inmediato. Cuando tenía 10-12 años, comencé a programar. Y luego me interesé por el tema de la ciberseguridad.
Mientras estudiaba en la universidad, planeé irme de allí para hacer desarrollo. Pero un día tuvimos un Día de la Carrera y alguien dijo que la piratería ética puede ganarse la vida oficialmente. Entonces el pensamiento me sorprendió. Comencé a participar en el programa Yahoo Vulnerability Finder y me involucré en la piratería ética. Ha trabajado con empresas como Deloitte, Context Information Security y Yahoo. En ellos realicé pruebas de penetración , trabajé como parte del equipo de Red e hice investigaciones en el campo de la ciberseguridad.
¿Existe alguna tecnología específica que le interese?
No soy muy bueno pirateando la web. No me interesa tanto como el análisis de código fuente, la ingeniería inversa o el análisis de sistemas. Durante los últimos dos años, he pasado mucho tiempo aprendiendo sobre las plataformas de Integración y Desarrollo Continuo (CI / CD). Disfruto hackear cuando los sistemas complejos interactúan y en algún momento las cosas pueden salir mal. La búsqueda de vulnerabilidades aquí es tan eficaz como utilizar la ingeniería inversa clásica o encontrar errores en aplicaciones nativas.
¿Cómo decide qué productos buscar vulnerabilidades?
Normalmente me dirijo a productos donde otros cazadores de errores han encontrado algo. Dado que esta ocupación ocupa todo mi tiempo de trabajo y tiene que pagar la hipoteca, también busco proyectos que ofrezcan las mayores recompensas por las vulnerabilidades encontradas. Pero si comenzara a sentir que todo esto se está convirtiendo en una rutina, probablemente haría otra cosa. Aprender tecnologías interesantes es lo que me impulsa.
¿Alguna vez ha tenido problemas para revelar información sobre vulnerabilidades?
El mayor problema son los pagos lentos cuando los pagos tardan entre 6 y 9 meses. Por lo tanto, trato de participar en esos programas de piratería ética que se sabe que pagan en un plazo razonable.
Una o dos veces, no he podido probar que el error que encontré sea en realidad un error. Quizás no lo expliqué lo suficientemente bien en el informe o no di ejemplos claros. Creo que este es un problema recurrente, no somos tan buenos para explicar el error o el grado de riesgo que representa.
¿De qué vulnerabilidad encontraste estás más orgulloso y por qué?
Hace varios años, en el hackathon H1-702, logré encontrar un error que desencadenó la ejecución de código en GitHub. Esta era un área en la que me enfocaría durante un año más o menos, aunque el error en sí no era lo suficientemente bueno como para estar orgulloso. Sospeché durante mucho tiempo que habría un error y fue muy agradable encontrarlo. Por este trabajo recibí la mayor cantidad de dinero.
¿Cuáles son las tendencias interesantes en la piratería ahora, en términos de código y tecnología?
Lo más llamativo es el uso de contenedores. Últimamente he investigado mucho sobre contenedores y productos de Kubernetes. Encontré ciertos errores en un producto y luego los comparé con otros que usan tecnologías similares. Varios errores se superpusieron entre sí. Cada uno de ellos me llevó a nuevos errores, ya en otros productos.
¿Qué consejo le daría a un cazador de insectos en ciernes?
No espere demasiado: encontrar errores es un proceso lento. He trabajado en esta área durante más de 10 años, me dedico profesionalmente a las pruebas de penetración y sigo pensando que encontrar una vulnerabilidad es difícil. La cualidad más valiosa aquí es la persistencia. No debe esperar mucho dinero el primer día.
¿Hay algún otro plan de carrera para los próximos años además de estar completamente dedicado a la búsqueda de errores?
Estoy ganando mucho dinero en este momento buscando vulnerabilidades. Por lo tanto, simplemente no hay un "paso siguiente". Pero tengo una idea sobre cómo crear un equipo. Conozco a varias personas que trabajan como pentesters en empresas. Me encantaría crear un equipo con ellos, pero convencerlos de que renuncien a su trabajo permanente es más difícil de lo que parece.
La búsqueda de vulnerabilidades parece una actividad que las personas suelen realizar solas. ¿Crees que el trabajo en equipo puede ser efectivo aquí?
Por supuesto, todos aportarían sus habilidades y experiencia en beneficio de la causa común. Cuando trabajé con otros piratas informáticos en eventos fuera de línea, nuestra comunicación real fue la base de todo. Incluso cuando simplemente explica sus ideas o comienza a dudar de sus sugerencias, a menudo lo lleva a nuevos pensamientos. No los habría alcanzado por su cuenta. Como introvertido, disfruto mucho trabajar por mi cuenta. Pero no ver gente todos los días es difícil. Por tanto, me gustaría mucho trabajar en equipo.
¿Le gustaría compartir más sobre seguridad de la información?
Recientemente me di cuenta de que la industria de Bug Bounty tiene un pequeño problema de relaciones públicas. Mucha gente lo percibe de forma simplificada. Piensan que en algún momento de la protección de un producto popular encuentran un error crítico, y muchas personas comienzan a enviar informes al mismo tiempo. De hecho, todo es más complicado.
He visto esta industria desde todos los ángulos: desde la plataforma, los productos y los errores. Un pequeño número de personas tiene esta experiencia. Con suerte, los programas de Bug Bounty se centrarán más en el pentesting tradicional en un futuro próximo.
Una cosa que no me gustó mientras trabajaba fue que siempre tenía un objetivo. Ojalá en algún momento la industria hubiera llegado a un punto en el que las empresas alentaran a sus empleados de tiempo completo a participar en los programas Bug Bounty. Todos se beneficiarían de esto. Después de todo, las habilidades que sus especialistas adquieren de esta manera se pueden aplicar en el lugar de trabajo.
Blog ITGLOBAL.COM - TI administrada, nubes privadas, IaaS, servicios de seguridad de la información para empresas:
- Miedo a la automatización del trabajo y otras tendencias en la ciberseguridad mundial y rusa
- Cómo encontramos la vulnerabilidad en el servidor de correo del banco y cómo amenazaba
- Cómo hacerse amigo de GOST R 57580 y la virtualización de contenedores. Respuesta del banco central (y nuestras consideraciones)
- Las principales tendencias de la industria de las TI en 2021 según Gartner